海南航空上馬深信服上網行為管理案例

通過十五年的時間，海南航空從眾多地方性航空公司中脫穎而
出，快速發(fā)展成為中國民航業(yè)一支個性十足的生力軍，成為繼國
航、南航、東航之后的第四大航空集團。海南航空的成功不僅表
現(xiàn)在業(yè)務上，其信息化建設也走在了中國民航業(yè)的前列。海航集
團前董事長陳峰曾表示：要使信息化真正變成企業(yè)的核心競爭
力，推動海航的可持續(xù)發(fā)展。
海航的信息化建設已經伴隨著企業(yè)走了十余年，一開始海航就把
信息化建設定位為“管理思想的革命”。企業(yè)在信息化建設過程
中都有這么一個難題：企業(yè)規(guī)模越大，信息化建設的管理和決策
就越困難，而且企業(yè)發(fā)展的過程是動態(tài)的，海航認為必須建立一
套行之有效的管理模式，自上而下，貫穿整個企業(yè)。從海航內部
的職能劃分來說，第一層是“海航信息化建設領導小組”的決策
層，跨部門跨行業(yè)，由集團最高領導掛帥，權利最大。第二層是“信息化建設領導小組”，由海航自己的
信息系統(tǒng)公司執(zhí)行具體的任務。第三層是各成員公司自己的IT管理部門。
挑戰(zhàn)與期望
事實上，有這么一套嚴格的管理制度是非常有必要的。航空運輸業(yè)本身要求服務快速而準確，流程要求精
簡而規(guī)范，因此其信息化程度較高，很多業(yè)務通過相應業(yè)務系統(tǒng)來提高辦事效率、降低運營風險。但這也
帶來了新的問題：如在生產和安全范圍內，海航的應用系統(tǒng)就有飛行計劃管理系統(tǒng)、航材管理系統(tǒng)、氣象
情報系統(tǒng)等十余個系統(tǒng);在市場和財務范圍內，海航有電子訂票系統(tǒng)、旅客系統(tǒng)、航空結算系統(tǒng)、財務運營
系統(tǒng)等20多個業(yè)務系統(tǒng)。
目前，海航的信息化基礎設施建設已經相當完善，航線樞紐、市場營銷、服務保障網絡已經漸成體系，但
整個信息化辦公網也出現(xiàn)了讓公司領導擔憂的問題：
認證問題
1993年至今，海南航空在以海口為主基地的基礎上，先后建立了北京、西安、太原、烏魯木齊、廣州、蘭
州、大連、深圳八個航空營運基地，航線網絡遍布中國，覆蓋亞洲，輻射歐洲、美洲、非洲，開通了國內
外航線近500條，其中通航城市90個，伴隨業(yè)務的飛速發(fā)展，海航的信息化支撐網絡也迅速建立起來。
目前，海航集團內網有著眾多的網絡業(yè)務應用系統(tǒng)，不同的業(yè)務系統(tǒng)為不同的部門使用，很多業(yè)務系統(tǒng)均
需要依賴網絡平臺，集團總體上網人數龐大， 集團現(xiàn)有的上網認證系統(tǒng)已經不能滿足公司快速擴張的規(guī)模
要求。如何對員工上網進行認證，進而為其分配上網權限、流量控制等管理手段才能順利執(zhí)行。
流量問題
隨著各種網絡業(yè)務應用的推廣，海航也開始了網絡帶寬的擴充建設。但IT管理部門很快發(fā)現(xiàn)，帶寬的擴充
并沒有帶來明顯的應用速度的提升。而且，集團網絡出口的線路長期高負荷運行，一旦上網高峰時期，集
團內網流量相對較大，如何保障業(yè)務系統(tǒng)的帶寬與流量，讓其穩(wěn)定運行，是IT管理部門不得不解決的問
題。
隨著近年來P2P軟件應用的盛行與發(fā)展，海航也面臨著P2P應用的困擾。部分員工使用的P2P應用擠占了大量
的帶寬資源，這無法保證其它員工正常的業(yè)務應用的流量需要。而且近年來，海航更是發(fā)現(xiàn)了加密的P2P軟
件、未知版本的P2P軟件、P2P軟件版本更新加快等問題，徹底封堵P2P應用、對內網員工實施有效的流量控
制，這也引起海航IT管理部門的重視。
作為大型上市公司，在構建規(guī)范化、系統(tǒng)化的網絡運用體系時，讓員工既能高效地運用這些系統(tǒng)，又使集
團能有效避免網絡泄密、規(guī)避員工上網言論等引起的法律與社會風險，達到網絡運用雙贏的目的，海航IT
管理部門一直在這方面努力。
事實上，國內航空業(yè)中就有過這方面的IT監(jiān)管的教訓：某航空公司網絡中出現(xiàn)討論政治敏感問題的帖子，
但在網監(jiān)部門進行來源追查時，該公司IT管理部門無法對發(fā)帖來源進行精準定位，追查層面只到達公司層
面，這使該航空公司承受了巨大的壓力，最終使整個信息部門面臨行政處分。
選擇與部署
為了有效解決上述問題，構建穩(wěn)定、高效、安全的業(yè)務內網，海航集團對業(yè)內多家上網行為管理廠商的解
決方案進行綜合考察，經過細致的測試與對比，海航集團最終選擇了多臺深信服高端上網行為管理設備，
設備分兩期部署，分別部署在?？诳偛?、北京與西安分公司的網絡出口處。
值得一提的是，在測試過程中，海航信息管理部門發(fā)現(xiàn)深信服產品在高流量的情況下，其設備性能完全滿
足海南航空各類網絡應用的要求，設備的穩(wěn)定性、與海航自身網絡的兼容性均讓各位考察專家非常滿意。
并且，針對海航集團一些特殊的業(yè)務需求，深信服公司研發(fā)部門能夠迅速反應并進行二次開發(fā)，第一時間
安排功能性能測試，這種行為受到了海航集團的高度認可。
部署效果
部署了深信服千兆級上網行為管理產品后，海航集團運用深信服上網行為管理產品豐富的認證功能：包括I
P/MAC綁定、硬件特征碼、LDAP、AD、 Radius、USB-Key認證等，通過選取其中若干認證方式進行混合認
證，這很好地解決了員工的上網認證問題，保證了內網用戶身份的合法性，這也為集團員工上網權限分配
提供了很好的依據。
通過唯一認證的員工身份，海航IT管理部門基于員工的工作職責、崗位特點劃分上網權限，并進一步進行
帶寬分配與流量控制，從而有效解決了海航集團流量控制的問題，保障了集團相關業(yè)務系統(tǒng)的穩(wěn)定運行。
而針對先前封堵困難的P2P應用，深信服上網行為管理設備提供了封底的封堵功能，可對加密BT、未知版本
P2P應用等各類P2P應用進行徹底封堵，從而有效保障了整個內網核心業(yè)務應用的帶寬與流量。部署了深信
服上網行為管理產品以后，海航集團?？诳偛?、西安與北京分公司內網基本做到了全天流量平穩(wěn)，以前上
網高峰期出現(xiàn)的“上網慢”的現(xiàn)象得到了有效控制。
而通過設置員工上網權限，海航集團對與工作無關的網絡應用如網上炒股、網絡游戲、聊天等網絡應用進
行封堵，實現(xiàn)了員工上班時間只從事工作相關業(yè)務，提高了辦公效率;而且信息中心管理人員還可以分時
段、分人員對集團員工進行人性化管控，這極大地保障了信息部門的工作執(zhí)行。
而針對海航集團的信息安全與審計問題，深信服上網行為管理設備可獨立部署外置的數據中心，這樣就擺
脫了設備自帶硬盤的存儲有限的問題，設備支持海量存儲、模糊查詢、精確搜索，這樣一來，整個海航集
團及下屬分公司的員工上網行為信息均可及時存儲，一旦發(fā)現(xiàn)問題，可以通過數據中心內置的搜索引擎精
確定位問題人物。
事實上，海航集團IT管理部門可以通過上網行為管理產品導出網絡整體應用情況：如流量、訪問統(tǒng)計等，
新版本的數據中心可智能導出各種上網行為管理趨勢，并進行匯總，這給海航集團的IT管理部門的網絡優(yōu)
化提供了可靠的數據。